红:攻击者获取网络访问权限的 10 种方式
1. 不强制 执行 多因素身份验证 (MFA) 当不良行为者如此关注网络钓鱼、受信任的关系和有效帐户等技术时,MFA 尤其有用。这些方法中的任何一种都可能对受影响的组织产生严重的长期影响。这不仅仅是他们如何进入,而是他们之后会做什么。 一家被勒索软件和数据泄露击倒的公司可能经历了几个攻击阶段才能达到这一点。想象一下,如果所有这些都从未发生过,因为初始进入点(……
调查取证:用户访问记录 (UAL)
简介 UAL 是 Microsoft Windows Server 版本中默认包含的一项功能,从 Server 2012 开始。根据Microsoft的定义,UAL 是一项“以 IP 地址和用户名的形式记录已安装产品的唯一客户端访问请求和本地服务器上的角色。” 这意味着 UAL 记录用户对 Windows 服务器上运行的各种服务的访问。 访问记录到磁盘上的数……
调查取证:BMChache
BMChache全称RDP Bitmap Chache,即RDP(远程桌面协议)位图缓存。是Windows为了加速RDP连接时的显示,减少数据量的传输,改善RDP连接体验的一种缓存机制。 &n……
调查取证:shellbags
简介 Windows Shell Bags 被引入到 Microsoft 的 Windows 7 操作系统中,并且出现在所有后来的 Windows 平台上。Shellbags 是注册表项,用于改善用户体验并在需要时调用用户的偏好。Shell Bags的制作依赖于用户进行的练习。 在 shellbags 的帮助下: 1. 可以证明特定用户是否访问了特定文件夹。……
红:在数字证书中嵌入payload
参考地址 https://3gstudent.github.io/%E9%9A%90%E5%86%99%E6%8A%80%E5%B7%A7-%E5%9C%A8PE%E6%96%87%E4%BB%B6%E7%9A%84%E6%95%B0%E5%AD%97%E8%AF%81%E4%B9%A6%E4%B8%AD%E9%9A%90%E8%97%8FPayload h……
红:ZIP投递免杀方式
1 概述 8月初,威胁情报公司 QuoIntelligence公开了一段基于APT28构造恶意的有关北约主体的恶意文档,伪装成北约培训课程资料的Zebrocy恶意软件,样本名称为”Course 5 – 16 October 10.2020.zipx”。 8月中旬,奇安信发布报告“https://www.secrss.com/articles/24798” ……